El GDPR, y lo que debe hacer si está fuera de la Unión Europea!

ley gdpr en latinoamérica

El Reglamento General de Protección de Datos de la Unión Europea (GDPR) ha dado muchísimo de qúe hablar en los últimos días, en todo el mundo. Esta reglamentación, que entró en vigencia para la Unión Europea, establece algunas cosas que aplican a todos los países del mundo, o por lo menos pretenden aplicar a países fuera de la UE. Ya empresas gigantes como Google, Facebook y otras están corriendo para adecuarse a lo que establece el RGPD. Qué debemos hacer si estamos fuera de la Unión Europea? Debemos hacer algo? Nos puede aplicar la ley? Hablemos un poco al respecto.

Como siempre, recuerde que cada país tiene sus leyes y su marco legal, que puede o no ser compatible con el de la Unión Europea. Solo un especialista legal en su país le puede decir claramente qué implicaciones tiene la GDPR para usted y los servicios que administre.

Qué es la GDPR?

GDPR son las siglas de General Data Protection Regulation (Reglamento General de Protección de Datos), una nueva ley de protección de datos personales que entró en vigencia en la Unión Europea y la comunidad Europea el 25 de mayo del 2018.

La GDPR lo que busca es que los usuarios de internet tengan un mayor control sobre la información personal que se recoge acerca de ellos, qué se hace con esa información, en dónde se almacena y durante cuánto tiempo.

GDPR es la regulación 2016/679 de la Unión Europea. Fue aprobada en el 2016 y adquirió vigencia el 25 de mayo del 2018.

La norma está redactada de tal forma que afecta a países fuera de la UE, lo cual ha despertado interés en todo el mundo y ha hecho que la GDPR sea noticia en todo el planeta.

Aunque no soy especialista en el tema, ni pretendo que este post sea entendido como asesoría formal, espero que les sea de utilidad a los que están tratando de entender qué diablos es todo esto de la GDPR. En cualquier caso, si tienen dudas que no puedan resolver, busquen asesoría legal en sus países, que esté enterada del tema.

En qué países aplica GDPR?

Directamente, la GDPR aplica en los países de la Unión Europea y el Espacio Económico Europeo:

  • Alemania
  • Austria
  • Bélgica
  • Bulgaria
  • Chipre
  • Croacia
  • Dinamarca
  • Eslovaquia
  • Eslovenia
  • España
  • Estonia
  • Finlandia
  • Francia
  • Grecia
  • Holanda
  • Hungría
  • Irlanda
  • Islandia
  • Italia
  • Latvia
  • Liechtenstein
  • Lituania
  • Luxemburgo
  • Malta
  • Polonia
  • Portugal
  • Reino Unido
  • República Checa
  • Rumanía
  • Suecia
  • Suiza

Pero indirectamente, como veremos en las próximas secciones, la GPDR podría llegar a afectar a todos los países del mundo: sin importar si son o no miembros de la comunidad Europea.

El Reglamento General de Protección de Datos aplica a países fuera de Europa?

ley gdpr fuera de europaAquí es donde se pone interesante el tema de la ley de datos Europea (General Data Protection Regulation). Aplica la GDPR en Costa Rica, en Colombia, en Latinoamérica, en Estados Unidos, o en cualquier país fuera de la Unión Europea o el Espacio Económico Europeo?

En principio uno diría que una normativa de la Comunidad Europea solamente puede aplicar dentro de la Comunidad Europea: la legislación de un país no se puede aplicar en otros países, a menos que exista algún tipo de tratado o acuerdo entre los países para hacerlo.

Pero eso no evitó que los legisladores europeos metieran una redacción en la GDPR, que básicamente hace que esta nueva ley de protección de datos pueda ser recurrida en cualquier parte del mundo. Específicamente, la GDPR establece que la regulación afecta cualquier situación en dónde cualquiera de los siguientes se encuentre en un país de la Unión Europea:

  • El controlador de datos (que es la organización que recolecta datos)
  • El procesador de datos (que es la organización que procesa datos a solicitud del controlador)
  • El sujeto de datos (que es la persona cuyos datos se están recolectando)

Y específicamente en ese último punto es donde esta el gran problema que tiene preocupadas a un montón de personas. Y que es tan grande que ha hecho que monstruos del internet como Google, Apple y Facebook hayan dedicado las últimas semanas a lanzarle todo tipo de advertencias y avisos a sus usuarios tratando de cumplir con lo que establece la GDPR.

La regulación GDPR lo que pretende decir, es que en cualquier parte del mundo donde alguien esté tratando con los datos personales de un residente de la Unión Europea, tiene que implementar las medidas exigidas por la GDPR para proteger los datos de ese residente. De lo contrario le puede ser puesta una queja ante las autoridades reguladoras europeas, y ellos se encargarán de aplicar los procesos y castigos que correspondan a la persona que violentó los derechos del residente de la UE.

Extraño? Definitivamente. En violación de principios básicos de derecho internacional? Por lo visto. Pero sea cual sea el caso, así quedó escrito y así entró en vigencia el pasado 25 de mayo. En este momento, “papá UE” está en obligación de ir a recetar castigo a cualquier ciudadano o empresa de otro país, que lesione de los derechos de uno de sus residentes.

Quiénes tienen que cumplir la GDPR?

Dejemos a un lado por un minuto todas las complicaciones de fronteras y de leyes internacionales, para entender quienes deberían cumplir la GPDR, según lo que establece la misma normativa.

En principio cualquier persona o empresa que maneje información personal de usuarios que se encuentren en la Unión Europea, debería cumplir la GDPR. No importa si la información la están recolectando ustedes directamente, o sí la está recolectando alguien más por ustedes (por ejemplo en el caso de que estén utilizando Google Analytics o un servicio externo de recolección de datos). Tampoco importa si el procesamiento o almacenamiento de los datos está ocurriendo dentro o fuera de la Unión Europea: precisamente la GDPR busca acabar con todo ese cuento de “mis servidores están en otro país y no respondo”. Si estamos involucrados con un usuario de la UE, deberíamos buscar cumplimiento de esta regulación.

Y en especial hay algunos casos en los que deberíamos buscar obligatoriamente cumplimiento de la GDPR:

  • Si tenemos oficinas o domicilio dentro de un país de la Unión Europea, o del Espacio Económico Europeo. No importa si es simplemente un centro local que realice alguna tarea secundaria, y no tenga que ver con procesamiento de datos. Ni siquiera importa si es la casa de playa del CEO que le da la empresa como beneficio: es un punto que nos conecta directamente con la jurisdicción de la UE, y por ese camino nos pueden llegar los problemas.
  • Si específicamente estamos buscando a los usuarios de la Unión Europea o estamos llevando a cabo campañas de mercadeo, que le interesen principalmente a usuarios de la UE. Si las estadísticas de nuestro sitio dicen que una parte importante del tráfico viene de la Unión Europea, o estamos comprando publicidad o haciendo mercadeo de una manera que atraiga principalmente a usuarios de la UE… estamos cayendo en uno de los casos claramente tipificados por la GDPR y tenemos que buscar cumplimiento.

Qué me puede pasar si no cumplo la GDPR?

Cuando no se cumple la GDPR y se recibe una queja en contra de alguien, los reguladores europeos que establezca la ley, tienen la obligación de investigar esa queja y proceder con una serie de acciones si encuentran que efectivamente se incumplió lo que establecen las regulaciones:

  • La primera vez se emite una advertencia escrita
  • Si se continúa en violación de lo que establece la norma, se puede exigir que el responsable se someta a un régimen de auditorías obligatorias: donde periódicamente se verifique si está cumpliendo o no con la protección de datos requerida.
  • Si se continúa en violación de lo que establece la norma, se multa al responsable por 10 millones o 20 millones de euros, o un porcentaje de sus utilidades mundiales (el que sea mayor), dependiendo de los incumplimientos específicos que tenga.

Son precisamente esas multas de 10 y 20 millones de euros las que más han llamado la atención de todo el planeta, y las que tienen nerviosos a muchos bloggers y proveedores de servicios… que temen encontrarse algún día una multa en su casillero de correo de parte de la Unión Europea.

Realmente puede la Unión Europea castigar a alguien fuera de la UE?

ley gdpr union europeaPara esa pregunta en realidad no hay respuesta. Es una de esas dudas que sólo con el tiempo se podrán resolver. Porque aunque en principio no se puede, tampoco se puede obviar que muchos países tienen tratados comerciales y de cooperación con la UE, que permiten que normativas como esta puedan eventualmente cruzar las fronteras.

La mayor parte de los especialistas en el tema, lo que dicen es lo obvio: la normativa está mal planteada y nunca va a poder ser aplicable a cómo está escrita. Hay demasiados procesos que se deben cumplir para castigar a alguien fuera de la UE por temas de GDPR… y simplemente no habrá suficientes reguladores, ni recursos, para hacer efectivo el tema a nivel internacional.

A lo sumo una multa qué le caiga por la GDPR a alguien que esté establecido fuera de la Unión Europea, será archivada por la autoridad competente de la Unión Europea y se quedará por ahí esperando a ver si por pura casualidad en algún momento el acusado entra en territorio de la Unión Europea, en cuyo caso podría ser requerido por las autoridades y llevado a responder por los incumplimientos.

O podría ocurrir que más bien la multa mantenga fuera de la UE a alguien: como es un proceso legal abierto, la persona eventualmente tendría prohibida la visa de entrada a la UE, y tendría que rebotar de embajada en embajada hasta que logre resolver su situación.

Lo anterior, como mencionaba, es mera especulación. Solo una teoría de cómo podría llegar a tener poder fuera de la UE la ley GDPR. La realidad, es que solo el tiempo y los casos reales que se den, nos podrán dar una luz al respecto.

Cuáles son los principios básicos que hay que cumplir dentro de la GDPR?

Aunque esta nueva regulación parece extremadamente complicada, y se enmarca en un sistema legal ajeno para muchos, los principios básicos que usa son fáciles de entender. Comprenderlos es un paso muy importante, para lograr cumplimiento de lo establecido por la GDPR.

  • Aplicación dentro y fuera de internet: la GDPR funciona para cualquier información personal, no solo la que existe en internet. Los medios de comunicación han dado a entender que es algo meramente para sitios de internet, pero la realidad es que la GDPR aplica igual a una página web, que a una empresa que llame a clientes y mantenga su información anotada en un cuaderno de papel.
  • Información personal: la información personal es cualquier información que podamos asociar con una persona específica, conocida o desconocida. Si hay un trozo de información que podamos decir claramente que pertenece a alguien, es información personal. Información personal incluye lo que ya conocemos (nombre, dirección física, dirección de correo, número de identificación, etc) y ahora bajo GDPR también incluye la dirección IP del usuario.
  • Consentimiento explícito y positivo: el principio fundamental de esta regulación es que el usuario es dueño de su información personal y no podemos usarla o recolectarla, sin que nos haya dado permiso de forma clara, explícita y voluntaria. Bajo GDPR no se vale el viejo método “usted acepta todo automáticamente, diga si no está de acuerdo”… sino que siempre debe ser “díganos si tenemos permiso para usar esta información, bajo estas condiciones”. Consentimiento positivo significa que el usuario tiene que tomar una acción específica e intencional, para darnos ese permiso. Tiene que presionar un botón, marcar un check, o algo por el estilo… y ese check no puede estar marcado por default.
  • Consentimiento de los padres: el uso de información personal de menores de 16 años, requiere consentimiento explícito de quien tenga autoridad parental sobre el menor. Si un país de la UE desea cambiar la edad de consentimiento, puede hacerlo, siempre y cuando no la coloque por debajo de los 13 años.
  • Privacidad máxima por default: cualquier cosa que hagamos, tiene que tener el máximo nivel de protección de datos posible, configurado por default. Y es el usuario quien debe bajar el nivel de protección, si así lo desea. Muy importante si estamos haciendo apps o sitios que operen con perfiles públicos: el perfil tiene que mostrar la mínima información posible, y que sea el usuario quien elija mostrar más información si lo desea.
  • Derecho a la información: el usuario tiene derecho a saber claramente que estamos recolectando su información personal, qué información específica estamos recolectando, por qué motivo, y cómo lo vamos a utilizar. Ya no se vale poner una nota que dice “recogemos información personal para fines varios”. También el usuario tiene derecho saber durante cuánto tiempo vamos a conservar su información, y no es bien visto que la respuesta sea “indefinidamente”. En cualquier momento, el usuario puede pedir que le facilitemos una copia de toda la información que tenemos almacenada de él, y debemos ser capaces de hacerlo.
  • Lenguaje simple y comprensible: todas las políticas y documentos de manejo de información personal, tienen que hacerse en lenguaje simple, que cualquiera pueda entender. No pueden estar llenos de términos legales complejos, ni estar redactados de forma ambigua. El usuario tiene que poder leerlos, y entender totalmente a qué está sujeto.
  • Derecho a ser borrado: en cualquier momento el usuario tiene derecho a suspender el consentimiento de uso de sus datos, aunque nos lo haya autorizado antes. A partir de ese instante nosotros no tenemos permiso de seguir usando sus datos. El usuario puede pedir que sus datos sean borrados en cualquier momento, y debemos cumplir su petición y poder demostrar que así fue.

La GDPR es retroactiva?

La ley de información GDPR entró en vigencia el 25 de mayo del 2018, pero… qué pasa con la información personal que tengamos en nuestros sistemas, que haya sido recolectada antes del 25 de mayo del 2018? La GDPR puede aplicarse de forma retroactiva, sobre esa información que ya tenemos?

Este es otro punto donde no hay una respuesta definitiva, especialmente para gente que esté fuera de la Unión Europea. Hay muchos lugares donde la ley no puede ser retroactiva, y lo que se haga antes de que entre en vigencia una ley, no está sujeto a lo que dice la ley.

Con la GDPR, es importante entender que nos establece requerimientos para el uso, almacenamiento y recolección de información personal. Y cualquiera de esas acciones, puede estar ocurriendo todos los días. Por ejemplo si tenemos una lista de correo hecha antes del 25 de mayo del 2018, cualquier correo que enviemos después de esa fecha está sujeto a lo que establezca la GDPR, y por ende nuestra lista de correo está sujeta a cumplir lo que diga la GDPR.

Es importante, por más complicado que suene, obtener consentimiento de los usuarios para la información personal que tengamos de ellos, aunque haya sido obtenida previo a la vigencia de la GDPR. O simplemente deshacernos de esa información, si ya no la ocupamos.

Qué pasa si en mi sitio web no trabajo con información personal?

La GDPR establece requisitos para el manejo de información personal de los usuarios. Si no hay información personal de por medio, no aplica. Por ejemplo una página web de una empresa, que no pida en ningún momento ninguna información al usuario, que no utilice sistemas de monitoreo de tráfico, que tenga deshabilitados comentarios, y que no utilice ni almacene las direcciones IP más allá del momento de la transmisión de datos, no tiene obligaciones dentro de la GDPR.

Igualmente una página que tenga analítica básica, no personalizada, que no almacene datos individuales, y no utilice redes de cookies para publicidad o seguimiento, en teoría no tiene información que esté sujeta a GDPR.

Hay algunas páginas en internet que son así: nada más dan información al usuario sin recibir nada, no tienen analítica de ningún tipo, no tienen publicidad, y el usuario no ingresa ningún tipo de información en ellas. Ahí no hay tema con GDPR.

El problema es que tener una página así, en este momento es muy difícil. Cada vez el estándar de mercado nos obliga a tener más cosas en línea y ser más interactivos con los usuarios, y eso nos hace caer en territorio de la GDPR. Algo tan simple como tener un formulario de contacto, o dar una dirección o un número de teléfono de contacto, nos puede hacer caer dentro de los requerimientos de la GDPR.

Igualmente, son muy pocos los casos donde del todo no tenemos del todo contacto con los usuarios. La GDPR no es exclusiva para Internet: podemos tener una página web con cero interacciones y cero temas GDPR, pero en el momento en que un usuario llame a nuestra oficina, o se aparezca en nuestro restaurante, ya caímos en territorio de la GDPR.

Los blogs tienen que cumplir la GDPR?

ley gdpr fuera de europaSi. Los blogs tienen que cumplir con lo establecido por la GDPR, si en algún momento están haciendo alguna operación en donde estén involucrados datos personales de usuarios de la Unión Europea.

Específicamente, cuidado en el caso de los blogs con los formularios de comentarios, los formularios de contacto y las listas de correo. Esos son puntos que están identificados claramente, donde se maneja información personal de los usuarios.

Igualmente, tengan cuidado si utilizan Google Analytics o Google Adsense. Estos servicios recogen gran cantidad de información del usuario, y además transmiten cookies automáticamente y sin consentimiento, algo prohibido bajo la GDPR.

Por política, Analytics ignora y no almacena información que pueda ser considerada “personal” del usuario, pero en ciertas etapas del proceso pueden darse operaciones que involucren información personal… la más común siendo la dirección IP del usuario. Igualmente, en Analytics pueden quedar almacenadas direcciones web con parámetros que revelen información personal del usuario (por ejemplo si usan plugins o sistemas en su página que los pasen accidentalmente).

Si usan Blogger para su sitio, tengan presente que están operando dentro de la red de Google, y podrían tener sin darse cuenta cookies y recolección de datos de Google en su blog. En la red de Google, también los usuarios tienen un perfil con su información personal. Y pueden dejar esa información registrada en su sitio, si dejan comentarios o llenan formularios de contacto. WordPress tampoco está exento en el tema de manejo de información personal, en especial si habilitan funciones como registro de usuarios en su blog, foros de discusión o cosas por el estilo. Wix? Wix no ha dicho mucho al respecto, y probablemente esté igual que Google o WordPress.

Y si piensan que como están con Blogger o WordPress o Wix, ya “la empresa me solucionó todo”, están equivocados. Revisen muy bien las políticas de privacidad y contrato de uso de estas empresas: generalmente ellos no se comprometen a solucionarles el problema de GDPR. Lo que dicen, por lo general, es que sus sistemas están diseñados para respetar lo que indica la GDPR, pero es responsabilidad de ustedes hacer la implementación final y usar esas tecnologías de acuerdo con lo que dice el reglamento de protección de datos. Eso significa que les acaban de tirar toda la responsabilidad de cumplimiento, a ustedes!

Las páginas de Facebook tienen que cumplir la GDPR?

Las páginas que tengamos en Facebook también tienen que cumplir con la GDPR, si tienen usuarios de la Unión Europea.

La gran ventaja con Facebook es que al ser un sistema cerrado, la mayor parte del manejo de información personal ya fue resuelto internamente por Facebook. Nada más tenemos que revisar la información que se pone a nuestra disposición, para entender bien qué manejos de datos de los usuarios se están haciendo en nuestras páginas de Facebook.

El único caso donde Facebook establece que es responsabilidad de nosotros cumplir con la GDPR, es en el caso de anuncios y estadísticas. En esos casos, nosotros pasamos a ser el controlador de datos, y Facebook simplemente está procesando la información. Es nuestra responsabilidad verificar que tengamos permiso del usuario para procesar la información que estamos dando a Facebook.

Complicado? Definitivamente. En especial porque es difícil encontrar información acerca de cómo hace Facebook internamente para manejar información de los usuarios relacionada con temas estadísticos y de publicidad.

Lo que sí está muy claro, es que Facebook nos transmite información personal de los usuarios de nuestra página, y almacena información de los comentarios y acciones que han tomado. Es muy importante tener esto presente: con solo que tengamos likes en nuestra página Facebook, ya estamos almacenando información personal de los usuarios.

También tenemos que tener mucho cuidado si desde Facebook enviamos a usuarios a nuestra página web, lo cual ocurre con mucha frecuencia. A partir del momento en que el usuario sale de Facebook y entra en nuestro sitio, la responsabilidad de asegurar cumplimiento con GDPR pasa a nosotros.

Entonces, qué tengo que hacerle a mi blog para cumplir la GDPR?

Siento decirles, que no hay respuesta definitiva. Son tantísimas las implicaciones y condiciones del Reglamento General de Protección de Datos que aplican a los blogs y páginas web, y además tantísimas las tecnologías de diferentes fabricantes que se integran en un sitio web o blog, que en este momento es imposible dar una receta universal para cumplir la GDPR.

Me encantaría decir que es tan fácil como poner un aviso en la primera página, o actualizar la política de privacidad, o instalar algún plugin y todo quedará solucionado. Pero no es así. GDPR no permite “avisos de privacidad globales”, donde con tres líneas en una cajita se resuelve todo.

Cumplir al 100% la GDPR en un blog o un sitio web, en este momento es casi imposible. Cuando uno se pone a analizar cómo funcionan las diferentes partes de un sitio, y qué información están pasando de un lado a otro y en qué momento, prácticamente nadie puede llegarle al 100% al reglamento que entró en vigencia. Para cumplir al 100% el RGPD, básicamente hay que diseñar una versión del sitio aparte para los usuarios de la UE, que sea totalmente estéril y controlada, y en donde ninguna parte del sitio pueda actuar sin que exista una autorización explícita del usuario.

Si tienen una web independiente, si no son programadores, si nada mas tienen un blog porque les gusta, probablemente no quieran meterse a tratar de cumplir al 100% la DGPR.

A continuación, sin embargo, hay algunas recomendaciones de cómo cumplir puntos específicos de la GDPR. Aunque no puedan cumplir al 100% el reglamento, busquen adecuar en todo lo que sea posible su sitio. Porque una cosa es no poder cumplir 100% por razones técnicas de peso, y otra cosa es no poder cumplir porque simplemente ignoraron el tema y no le dieron la más mínima importancia!

Cuáles son algunos pasos para cumplir la GDPR?

El mundo no está listo para GDPR. Es la realidad. Dentro de la Unión Europea hay un montón de personas y empresas que trabajan con información personal, digital o física, y que ni siquiera tienen idea de qué es la GDPR. Y si nos vamos fuera de la Unión Europea, es infinitamente más alto el número.

Actualmente no hay nadie que entienda por completo todas las implicaciones de la GDPR, ni dentro de la Unión Europea, ni fuera de ella. Hay muchas cosas que saldrán en los próximos meses, que nadie ha considerado hasta el momento.

Si estamos fuera de la UE, lo mejor que podemos hacer en este momento, es ir mejorando poco a poco el cumplimiento de la GDPR en nuestros sitios. Tenemos que estar al tanto de qué está pasando dentro de la UE, y cómo van desenmarañando ese enredo, para entender por dónde nos puede caer la normativa a nosotros fuera de la UE.

Y si estamos dentro de la Unión Europea, pues, en absoluto no hay duda: tenemos que correr para adecuarlos a la regulación GDPR lo antes posible, de lo contrario podemos tener verdaderas consecuencias en poco tiempo!

En definitiva la GDPR es un primer paso a nivel mundial, y le van a seguir muchísimas normas locales fuera de la UE. Si nos empeñamos en este momento en cumplir y entender la GDPR, aunque no estemos dentro de la UE, se nos hará más fácil manejar lo que pueda venir en un futuro en nuestros países.

Cuáles son algunas acciones concretas que podemos llevar a cabo en este momento para mejorar nuestro cumplimiento?

Cumplir con la normativa local de protección de datos

Lo primero que tenemos que hacer, es averiguar cuáles leyes y reglamentos rigen en el lugar en donde vivimos. En este momento muchísimas personas están corriendo para tratar de cumplir todo lo que dice la GDPR, y en ese camino están obviando requerimientos básicos que tienen las leyes en sus países.

Las leyes de la UE pueden afectarnos o no, pero las leyes de nuestro país de seguro nos afectan. Está bien buscar cumplimiento de la GDPR, pero no debemos descuidar el cumplimiento de las leyes locales.

Buscar asesoría legal

Cada país tiene sus normas y sus reglamentos, aparte de toda una serie de tratados internacionales vigentes. Todo eso combinado puede abrir paso a que nos sea aplicable la GDPR. Si tenemos dudas, lo mejor es buscar a un especialista que conozca bien la legislación local, y nos pueda decir qué cosas tenemos que cumplir concretamente para adecuar nuestro manejo de información personal a los requerimientos de la ley.

Hacer un inventario de qué información personal manejamos

El primer paso para entender si estamos cumpliendo la GDPR, y entender qué medidas tenemos que tomar, es entender qué información tenemos de las personas.

Tenemos que hacer una revisión general de toda nuestra infraestructura, tanto la digital como la de papel, y de esta forma entender qué información personal estamos manejando de nuestros usuarios.

Por supuesto esto puede tomar varios días, e incluso puede ser necesario recurrir a varios departamentos, como por ejemplo nuestro departamento de IT para averiguar qué están haciendo nuestras páginas web, o el departamento de servicio al cliente que maneja los sistemas CRM que tienen información de los usuarios.

Solo mediante un inventario a conciencia y detallado de la información que pasa por nuestros sistemas, podremos saber qué estamos recogiendo y almacenando, e incluso darnos cuenta de cosas que estemos recolectando accidentalmente, y que puedan ponernos en riesgo con la GDPR.

Actualizar a la última versión de WordPress

Si para su sitio están usando el software WordPress, es muy importante que actualicen a la última versión (que en este momento es la 4.9.6). WordPress ha incorporado en las últimas semanas varias herramientas y ajustes que ayudan al cumplimiento de la GPDR.

Por ejemplo la versión 4.9.6 trae herramientas incorporadas, que se pueden usar para exportar la información personal de los usuarios y cumplir con la entrega de esa información si lo solicitan. También hay herramientas que sirven para borrar la información de los usuarios, y se hicieron algunos cambios en la buscando cumplir consentimiento explícito y positivo (por ejemplo en el formulario de comentarios).

Y no dejen por fuera las actualizaciones de temas y plugin. Esos también están siendo modificados por sus autores, para mejorar el cumplimiento de lo establecido por la GDPR.

Publicar una política de privacidad y manejo de información personal para GDPR

Es increíble la cantidad de sitios en internet que existen en este momento, y que no tienen una política de privacidad clara. Lo primero que tenemos que hacer para buscar cumplimiento de GDPR es publicar una política de privacidad compatible con GDPR en nuestro sitio, que explique claramente qué información estamos recolectando, por qué motivo, y qué vamos a hacer con ella.

En la política de privacidad también hay que informarle al usuario qué herramientas estamos usando para analizar sus datos, por ejemplo es indispensable que le informemos al usuario si nuestro sitio transmite cookies a su computadora. Si ya instalaron WordPress 9.4.6, en él encontrarán una herramienta muy útil, para redactar políticas de privacidad

Poner el aviso de cookies

En definitiva ningún sitio web donde estén involucrados cookies, debería estar sin una advertencia de cookies. Tienen que advertirle a los usuarios que les van a transmitir cookies cuando usen su sitio, eso está reglamentado por el GDPR, y por varias normativas anteriores. No hay escape: tienen que advertirle al usuario!

Quieren verificar si su sitio transmite cookies? Visítenlo, úsenlo un rato, y luego revisen los cookies en su computadora (en Chrome vayan a configuración -> avanzada -> privacidad -> configuración de contenidos -> ver todos los cookies). Si el sitio que tienen dejó un cookie, están usando cookies.

Les adelanto que el 95% de los sitios web que tengan, probablemente les van a dejar un cookie en algún momento.

Si tienen WordPress, el plugin GDPR Cookie Consent es una muy buena herramienta para incorporar esta advertencia en su sitio.

Tengan mucho cuidado con la redacción y botones de su advertencia. Muchos plugins despliegan un botón “No acepto” por default, pero ese botón no está conectado a nada… si el usuario selecciona “No acepto”, siempre recibe los cookies… eso es un engaño, y puede ser peor que no advertir nada! Si no están 100% seguros de que el botón “No acepto” está desactivando los cookies, quiten el botón y dejen solo el “Acepto”.

Anonimizar la dirección IP en Google Analytics

Cómo mencionamos anteriormente, la IP es considerada información personal del usuario, y Google Analytics eventualmente podría tener acceso a ella. Es imposible (o muy difícil) solicitar consentimiento de todos los usuarios que llegan a nuestro sitio para usar su dirección IP, así que lo más fácil es modificarla para que no se pueda usar con el fin de identificar a un usuario.

Si tienen el plugin GA Google Analytics, para anonimizar la dirección IP simplemente es cuestión de marcar la casilla correspondiente en la configuración:

google analytics GDPR RGPD

Si para incorporar Google Analytics lo hacen directamente en el código de su página, agreguen la siguiente línea para anonimizar las IP:

ga(‘set’, ‘anonymizeIp’, true);

Ya con eso, Analytics recibirá solo una parte de la IP del usuario, que no podrá ser usada para identificarlo, y nos ahorraremos todas las implicaciones de la GDPR al respecto.

Notificar a los usuarios de las listas de correo

Si en nuestro sitio manejamos listas de correo, estamos manejando información personal. No solo estamos recolectando, sino almacenando y además reutilizando una y otra vez la información del usuario cada vez que le enviamos un correo.

Tenemos que notificarles de esta situación e idealmente pedir su consentimiento para seguir enviándoles información. Cómo lo hacemos? Hay varias posibilidades:

  • Muchas empresas lo que están haciendo es enviar un aviso a todos los usuarios por correo electrónico, y en él incluyen un botón muy claro y evidente para que el usuario sea removido inmediatamente de la lista. Es una posibilidad, pero tiene la desventaja de que no cumple con garantizarnos consentimiento explícito y positivo del usuario.
  • Otra alternativa es proveer al usuario de un botón, para dar su consentimiento y continuar inscrito en la lista. Y a los usuarios que para cierta fecha no hayan dado su consentimiento, eliminarlos de la lista.
  • Podemos enviar un correo a todos los usuarios informándoles que los estamos removiendo de la lista, e invitándolos a suscribirse nuevamente. Esta es una forma de garantizarnos consentimiento explícito y positivo en el 100% de los usuarios de la lista.
  • Finalmente está la alternativa de usar el botón de ser removido (primera opción), pero además informar al usuario que si desea acogerse a la condición de consentimiento explícito y positivo, debe presionar el botón para ser removido, y luego suscribirse nuevamente. Esta es una alternativa que no nos garantiza al 100% el consentimiento explícito, pero sí queda documentado que informamos al usuario de su derecho, y le dimos la opción clara para ejercerlo… y que fue por voluntad del usuario que siguió en la lista.

Y no sólo tenemos que hacerlo con las listas de correos, sino con cualquier otro medio de contacto que tengamos con nuestros usuarios, en donde esté involucrada información personal. Piensen en sistemas CRM, sistemas de expedientes de usuarios, o incluso en lista de contactos que tengan vía WhatsApp, por las cuales están enviando información a los usuarios.

Activar la doble verificación en las listas de correo

Anteriormente muchos servicios de lista de correo, tenían la alternativa de que con sólo que el usuario ingresara a su dirección de correo electrónico, automáticamente quedaba suscrito a la lista de correo. Pero con la entrada en vigencia de la GDPR, eso podría representar un incuplimiento.

Así que lo mejor es volver al sistema viejo, donde el usuario solicita inscribirse a la lista de correo, y recibe un correo electrónico mediante cual tiene que confirmar su suscripción. De esta manera cumplimos el requisito de consentimiento explícito y positivo, porque no estamos asumiendo nada: el usuario recibió el correo de confirmación y presionó el link de suscripción o respondió al mismo, lo cual representa un consentimiento explícito y positivo.

No recoger información que no vayamos a usar

Bajo lo establecido por la GDPR, si tenemos información personal de los usuarios, es porque la vamos a usar para un fin específico. Este es un muy buen momento para dejar la práctica de recoger información simplemente porque podemos. Si hay información que estemos recolectando de los usuarios a la cual no le estemos dando uso, lo mejor es dejar de recogerla, y eliminar lo que tengamos almacenado en nuestros sistemas.

Adecuar los sistemas legacy

Existen muchísimas empresas que hace tiempo mandaron a hacer una página web, o una aplicación en línea, y esa aplicación ha durado hasta hoy. Y los estándares de privacidad de aquél momento no tenían nada que ver con los estándares vigentes actualmente, y menos con la GDPR.

Si tenemos sistemas de este tipo, es hora de actualizarlos! Inmediatamente. Tenemos que adecuarlos para que le den un tratamiento adecuado a la información personal de la gente.

Igualmente tenemos que analizar los diferentes procesos que tengamos en nuestra empresa, por donde pase información personal de la gente! Si la página web está perfecta, pero el departamento de ventas tiene una hoja de Excel en sus computadores donde tienen GB de información personal de clientes, números de teléfono, números de identificación… podemos tener un problema! La GDPR no solo es para sistemas digitales ni solo para páginas web: es para cualquier proceso que tengamos, por donde pueda pasar información personal de los usuarios!